Analisando o rkhunter (resolvido)

cajaboy · 27 de Agosto de 2013, 15:19

Alguém aí entende o rkhunter?
fazendo alguns testes aqui no meu cobaia deu o seguinte resultado.

~$ sudo rkhunter -c --rwo
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Alguém pode me explicar?

zekkerj · 27 de Agosto de 2013, 16:57

Seu problema é com o inglês? Pq os resultados são bem claros... alguns usuários foram encontrados, alguns diretórios ocultos foram encontrados... cabe a você agora analisar isso aí e ver se tem algo que não era esperado. Por exemplo, tem um usuário "postfix", vc lembra de ter instalado esse sistema? Se não lembra, é o caso de ver pq foi criado.

Tota · 27 de Agosto de 2013, 17:00

Ola

Citação de: cajaboy online 27 de Agosto de 2013, 15:19
fazendo alguns testes aqui no meu cobaia deu o seguinte resultado.

Não entendo muito de rkhunter, mas conheço a lingua inglesa, logo:

Citar~$ sudo rkhunter -c --rwo
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

Alerta: O comando '/usr/bin/unhide.rb' foi trocado por um script: /usr/bin/unhide.rb é um script em Ruby com caracteres ASCII em texto

Se foi você que fez o script ou o sistema com suas atualizações o trocou, está tudo bem, pois é só um alerta (warning)

CitarWarning: User 'postfix' has been added to the passwd file.

Alerta: Usuario 'postfix' foi adicionado ao arquivo de senhas.

idem ao anterior

CitarWarning: Group 'postfix' has been added to the group file.

Alerta: Grupo 'postfix' foi adicionado ao arquivo de grupos.

idem ao anterior

CitarWarning: Group 'postdrop' has been added to the group file.

Alerta: Grupo 'postdop' foi adicionado ao arquivo de grupos.

idem ao anterior

CitarWarning: Hidden directory found: /etc/.java

Alerta: encontrado um diretório oculto: /etc/.java

Se foi o java que o criou, idem ao anterior

CitarWarning: Hidden directory found: /dev/.udev

idem ao anterior

CitarWarning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

idem ao anterior

Abraços

cajaboy · 27 de Agosto de 2013, 21:19

O postfix e o unhider,rb foram instalados com o rkhunter. sacanagem

cajaboy · 27 de Agosto de 2013, 21:43

Em: Warning: Hidden directory found: /dev/.udev
tem uma pasta assim: /dev/.udev/rules.d e um arquvo root.rules
Dentro tem escrito isso: SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="6", SYMLINK+="root"
Em Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
olhei em /dev/ tem um link para initramfs em `/run/initramfs', mas essa pasta está também vazia.

Em .java tem 2 arquivos em branco .system.lock e .systemRootModFile

cajaboy · 28 de Agosto de 2013, 00:04

Esse é o log do rkhunter

[00:02:01] Running Rootkit Hunter version 1.3.8 on Infoway
[00:02:01]
[00:02:01] Info: Start date is Qua Ago 28 00:02:01 BRT 2013
[00:02:01]
[00:02:01] Checking configuration file and command-line options...
[00:02:01] Info: Detected operating system is 'Linux'
[00:02:01] Info: Found O/S name: Ubuntu 12.04.3 LTS
[00:02:01] Info: Command line is /usr/bin/rkhunter --update
[00:02:01] Info: Environment shell is /bin/bash; rkhunter is using dash
[00:02:01] Info: Using configuration file '/etc/rkhunter.conf'
[00:02:01] Info: Installation directory is '/usr'
[00:02:01] Info: Using language 'en'
[00:02:01] Info: Using '/var/lib/rkhunter/db' as the database directory
[00:02:01] Info: Using '/usr/share/rkhunter/scripts' as the support script directory
[00:02:01] Info: Using '/usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /sbin /bin' as the command directories
[00:02:01] Info: Using '/' as the root directory by default
[00:02:01] Info: Using '/var/lib/rkhunter/tmp' as the temporary directory
[00:02:01] Info: X will be automatically detected
[00:02:01] Info: Using second color set
[00:02:01] Info: Found the 'basename' command: /usr/bin/basename
[00:02:01] Info: Found the 'diff' command: /usr/bin/diff
[00:02:01] Info: Found the 'dirname' command: /usr/bin/dirname
[00:02:01] Info: Found the 'file' command: /usr/bin/file
[00:02:01] Info: Found the 'find' command: /usr/bin/find
[00:02:01] Info: Found the 'ifconfig' command: /sbin/ifconfig
[00:02:01] Info: Found the 'ip' command: /sbin/ip
[00:02:01] Info: Found the 'ldd' command: /usr/bin/ldd
[00:02:01] Info: Found the 'lsattr' command: /usr/bin/lsattr
[00:02:01] Info: Found the 'lsmod' command: /sbin/lsmod
[00:02:01] Info: Found the 'lsof' command: /usr/bin/lsof
[00:02:01] Info: Found the 'mktemp' command: /bin/mktemp
[00:02:01] Info: Found the 'netstat' command: /bin/netstat
[00:02:01] Info: Found the 'perl' command: /usr/bin/perl
[00:02:01] Info: Found the 'pgrep' command: /usr/bin/pgrep
[00:02:01] Info: Found the 'ps' command: /bin/ps
[00:02:01] Info: Found the 'pwd' command: /bin/pwd
[00:02:01] Info: Found the 'readlink' command: /bin/readlink
[00:02:01] Info: Found the 'stat' command: /usr/bin/stat
[00:02:01] Info: Found the 'strings' command: /usr/bin/strings
[00:02:01] Info: Found the 'wget' command: /usr/bin/wget
[00:02:01] Info: The mirrors file will be rotated
[00:02:01] Info: Both local and remote mirrors will be used
[00:02:01] Info: The mirrors file will be updated
[00:02:01] Info: Locking is not being used
[00:02:01]
[00:02:01] Checking rkhunter data files...
[00:02:01] Info: Created temporary file '/var/lib/rkhunter/tmp/rkhunter.upd.oBbTnzhItl'
[00:02:01] Info: Created temporary file '/var/lib/rkhunter/tmp/mirrors.dat.NYLZbNOXO6'
[00:02:01] Info: The mirrors file has been rotated: /var/lib/rkhunter/db/mirrors.dat
[00:02:02] Info: Executing download command '/usr/bin/wget -q -O /var/lib/rkhunter/tmp/rkhunter.upd.oBbTnzhItl http://rkhunter.sourceforge.net/1.3/mirrors.dat 2>/dev/null'
[00:02:02] Info: This version : 2007060601
[00:02:02] Info: Latest version: 2007060601
[00:02:02] Checking file mirrors.dat [ No update ]
[00:02:02] Info: Executing download command '/usr/bin/wget -q -O /var/lib/rkhunter/tmp/rkhunter.upd.oBbTnzhItl http://rkhunter.sourceforge.net/1.3/programs_bad.dat 2>/dev/null'
[00:02:03] Info: This version : 2010111601
[00:02:03] Info: Latest version: 2010111601
[00:02:03] Checking file programs_bad.dat [ No update ]
[00:02:03] Info: Executing download command '/usr/bin/wget -q -O /var/lib/rkhunter/tmp/rkhunter.upd.oBbTnzhItl http://rkhunter.sourceforge.net/1.3/backdoorports.dat 2>/dev/null'
[00:02:03] Info: This version : 2010111401
[00:02:03] Info: Latest version: 2010111401
[00:02:03] Checking file backdoorports.dat [ No update ]
[00:02:03] Info: Executing download command '/usr/bin/wget -q -O /var/lib/rkhunter/tmp/rkhunter.upd.oBbTnzhItl http://rkhunter.sourceforge.net/1.3/suspscan.dat 2>/dev/null'
[00:02:03] Info: This version : 2009112901
[00:02:03] Info: Latest version: 2009112901
[00:02:03] Checking file suspscan.dat [ No update ]
[00:02:04] Info: Executing download command '/usr/bin/wget -q -O /var/lib/rkhunter/tmp/rkhunter.upd.oBbTnzhItl http://rkhunter.sourceforge.net/1.3/i18n/1.3.8/i18n.ver 2>/dev/null'
[00:02:04] Info: This version : 2009091601
[00:02:04] Info: Latest version: 2009091601
[00:02:04] Checking file i18n/cn [ No update ]
[00:02:04] Info: This version : 2010111401
[00:02:04] Info: Latest version: 2010111401
[00:02:04] Checking file i18n/de [ No update ]
[00:02:04] Info: This version : 2010110901
[00:02:04] Info: Latest version: 2010110901
[00:02:04] Checking file i18n/en [ No update ]
[00:02:04] Info: This version : 2009091601
[00:02:04] Info: Latest version: 2009091601
[00:02:04] Checking file i18n/zh [ No update ]
[00:02:04] Info: This version : 2009091601
[00:02:04] Info: Latest version: 2009091601
[00:02:04] Checking file i18n/zh.utf8 [ No update ]
[00:02:04]
[00:02:04] Info: End date is Qua Ago 28 00:02:04 BRT 2013

Tota · 28 de Agosto de 2013, 05:49

Ok

E qual o problema?

cajaboy · 28 de Agosto de 2013, 12:01

O rkhunter indentifica vírus do windows?
Porque se for isso, tenho alguns que ainda não exclui aqui no meu PC.

cajaboy · 28 de Agosto de 2013, 12:46

Citação de: cajaboy online 27 de Agosto de 2013, 21:43
Em: Warning: Hidden directory found: /dev/.udev
tem uma pasta assim: /dev/.udev/rules.d e um arquvo root.rules
Dentro tem escrito isso: SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="6", SYMLINK+="root"
Em Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
olhei em /dev/ tem um link para initramfs em `/run/initramfs', mas essa pasta está também vazia.

Em .java tem 2 arquivos em branco .system.lock e .systemRootModFile

O que encontrei foi isso.

Tota · 28 de Agosto de 2013, 17:17

Citação de: cajaboy online 28 de Agosto de 2013, 12:01
O rkhunter indentifica vírus do windows?

Não, o rkhunter não é um antivirus.

Ele procura apenas rootkits

Tota · 28 de Agosto de 2013, 17:17

Citação de: cajaboy online 28 de Agosto de 2013, 12:46
Citação de: cajaboy online 27 de Agosto de 2013, 21:43
Em: Warning: Hidden directory found: /dev/.udev
tem uma pasta assim: /dev/.udev/rules.d e um arquvo root.rules
Dentro tem escrito isso: SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="6", SYMLINK+="root"
Em Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
olhei em /dev/ tem um link para initramfs em `/run/initramfs', mas essa pasta está também vazia.

Em .java tem 2 arquivos em branco .system.lock e .systemRootModFile

O que encontrei foi isso.

Ok

E qual o problema?

cajaboy · 28 de Agosto de 2013, 19:47

O problema é esse.

System checks summary
=====================

File properties checks...
Files checked: 133
Suspect files: 1 <------------------------ ESSE

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 1 minute and 48 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Tota · 28 de Agosto de 2013, 21:51

E qual o problema?

Leu o arquivo de log como ele pede?

cajaboy · 29 de Agosto de 2013, 00:45

tá aí postado, mas não entendo muito,por isso recorri a vocês

Tota · 29 de Agosto de 2013, 07:34

acho que é só um falso positivo.

Leia aqui=> http://ubuntuforum-br.org/index.php?topic=102044.0

http://ubuntuforum-br.org/index.php/topic,11917.msg63021.html#msg63021

http://ubuntuforum-pt.org/index.php?topic=97600.0

O rkhunter foi escrito para Linux em geral, e o Ubuntu utiliza alguns arquivos com permissões e locais diferentes de algumas outras distros, daí estes alertas.

[]'s